Facebook refuse de remédier à des lacunes graves en matière de protection de la vie privée malgré s'être excusée publiquement d'avoir commis un « abus de confiance »

Une enquête conjointe révèle d'importantes lacunes au chapitre des pratiques en matière de protection de la vie privée du géant des médias sociaux, ce qui souligne l'urgence d'entreprendre une réforme législative pour protéger adéquatement les droits des Canadiens

OTTAWA, le 25 avril 2019 /CNW/ - Facebook a commis des violations graves aux lois canadiennes et s'est soustraite à ses responsabilités concernant la protection des renseignements personnels des Canadiens, selon un rapport d'enquête.

Bien qu'elle ait publiquement reconnu avoir commis un « important abus de confiance » dans l'affaire Cambridge-Analytica, Facebook conteste les conclusions de l'enquête menée par le Commissariat à la protection de la vie privée du Canada et le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique. L'entreprise refuse aussi de mettre en place les recommandations pour remédier aux infractions commises.

« Le refus de Facebook d'assumer ses responsabilités en ce qui concerne la protection de la vie privée est très troublante compte tenu, entre autres, de la quantité de renseignements personnels sensibles que lui ont confiés ses utilisateurs », déclare le commissaire Therrien. « Le cadre de protection de la vie privée de l'entreprise était une coquille vide et ses politiques de confidentialité étaient vagues. Par conséquent, les usagers ne bénéficiaient pas d'une protection réelle de leur vie privée », ajoute-t-il.

« La contradiction frappante entre les promesses publiques faites par Facebook de mieux protéger la vie privée de ses utilisateurs et son refus de régler les problèmes graves que nous avons relevés ? ou même de reconnaître qu'elle a contrevenu à la loi ? est tout aussi troublante », ajoute-t-il.

« Facebook a passé plus d'une décennie à exprimer des regrets pour ses actions et à répéter son engagement à protéger la vie privée », affirme Michael McEvoy, commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique. « Mais lorsque vient le temps de poser des gestes concrets pour corriger ces transgressions, elle fait preuve de mépris. » 

Le commissaire McEvoy soutient que les agissements de Facebook démontrent la nécessité d'accroître les pouvoirs de sanction des organismes fédéral et provinciaux de réglementation de la protection de la vie privée pour protéger l'intérêt public. « La capacité d'imposer des amendes significatives constituerait un point de départ important », dit-il.

Selon les deux commissaires, les conclusions de l'enquête et le rejet par Facebook des recommandations du rapport illustrent les faiblesses critiques du présent cadre canadien de protection de la vie privée et soulignent l'urgent besoin de lois plus strictes sur la protection des renseignements personnels.

« Il est inacceptable que des organisations puissent rejeter les conclusions juridiques du Commissariat comme si elles n'étaient que de simples opinions », affirme le commissaire Therrien.

En plus du pouvoir d'imposer des sanctions pécuniaires à des entreprises, les deux commissaires sont d'avis qu'ils devraient être investis de pouvoirs plus étendus pour qu'ils examinent les pratiques d'une organisation afin de confirmer indépendamment le respect des lois sur la protection des renseignements personnels. Un tel pouvoir existe au Royaume-Uni et dans plusieurs autres pays.

En dotant le commissaire fédéral du pouvoir de rendre des ordonnances, cela permettrait aussi d'assurer que ses conclusions et recommandations soient contraignantes pour les organisations qui refusent de se conformer à la loi.

L'enquête a été menée à la suite d'une plainte et de reportages médiatiques selon lesquels Facebook a autorisé une organisation à utiliser une application pour accéder aux renseignements personnels de ses utilisateurs. Par la suite, certains de ces renseignements ont été communiqués à d'autres organisations, y compris Cambridge Analytica, une entreprise impliquée dans des campagnes électorales américaines.

L'application, qui a notamment porté le nom de « This is Your Digital Life », a encouragé les utilisateurs à remplir un questionnaire sur la personnalité. Elle a recueilli des renseignements sur les utilisateurs qui ont installé l'application ainsi que sur leurs « amis » Facebook.

Quelque 300 000 utilisateurs de Facebook partout dans le monde ont ajouté l'application, ce qui a donné lieu à la divulgation possible des renseignements personnels d'environ 87 millions d'utilisateurs, dont plus de 600 000 Canadiens.

L'enquête a révélé que Facebook a contrevenu aux lois fédérales et de la Colombie-Britannique en matière de protection des renseignements personnels à de nombreux égards. En particulier, les infractions comprennent :

Accès non-autorisé

Le caractère superficiel et l'inefficacité des régimes de consentement et de protection de Facebook ont permis à une application tierce d'accéder sans autorisation aux renseignements personnels de millions d'utilisateurs. Certains de ces renseignements ont par la suite été utilisés à des fins politiques.

Absence de consentement valable pour les « amis des amis »

Facebook n'a pas obtenu le consentement valable des utilisateurs qui ont installé l'application et des « amis » de ces utilisateurs, dont les renseignements ont également été communiqués par l'entreprise.

Absence de mécanisme de surveillance des pratiques de protection de la vie privée des applications

Facebook n'a pas exercé une bonne surveillance des pratiques de protection de la vie privée des applications sur sa plate-forme. Elle a compté sur des modalités contractuelles conclues avec les applications pour protéger les utilisateurs contre un accès non autorisé à leurs renseignements, mais son approche de surveillance de la conformité à ces modalités était complètement inadéquate.

Absence généralisée de responsabilité quant aux renseignements personnels

Un des principes de base des lois sur la protection des renseignements personnels est que les organisations sont responsables des renseignements personnels dont elles ont la garde. Facebook a plutôt tenté de transférer cette responsabilité aux applications sur sa plate-forme ainsi qu'aux utilisateurs eux-mêmes.

Les lacunes relevées par l'enquête sont particulièrement préoccupantes compte tenu du fait qu'une enquête sur Facebook menée par le Commissariat en 2009 a également révélé que l'entreprise a contrevenu à la loi en demandant un consentement trop général et non éclairé en ce qui concerne la communication de renseignements personnels à des applications tierces, de même qu'en n'effectuant pas la surveillance requise pour assurer une protection contre l'accès non autorisé par ces applications.

Si Facebook avait mis en oeuvre efficacement les recommandations découlant de l'enquête de 2009, les risques qu'une application tierce puisse avoir accès aux renseignements personnels des Canadiens et les utiliser auraient été évités ou considérablement atténués.

Le refus par Facebook de donner suite aux recommandations des commissaires signifie que les Canadiens risquent fort de voir leurs renseignements personnels utilisés à des fins auxquelles ils n'ont pas consenti et de subir un éventuel préjudice.

Compte tenu de l'ampleur et de la gravité des problèmes relevés, les commissaires ont voulu mettre en place des mesures pour garantir que l'entreprise respecte à l'avenir ses responsabilités et ses autres obligations en matière de protection de la vie privée.

Toutefois, Facebook a refusé de se soumettre volontairement à des audits de ses politiques de protection de la vie privée au cours des cinq prochaines années.

Le Commissariat à la protection de la vie privée du Canada compte porter l'affaire devant la Cour fédérale afin qu'elle rende une ordonnance pour obliger l'entreprise à corriger ses pratiques.

Le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique se réserve le droit d'engager des mesures à l'avenir à l'encontre de Facebook en vertu de la Personal Information Protection Act.

Documents connexes :

Rapport d'enquête

Tableau : Les conclusions relatives à Facebook soulignent la nécessité d'une réforme législative

REMARQUE : Pour nous aider à réagir plus rapidement, les journalistes sont invités à envoyer leurs demandes d'entrevue ou d'autres informations par courriel.

SOURCE Commissariat à la protection de la vie privée du Canada